Интернет-справка ESET

Поиск Русский
Выберите тему

Как работают уровни обнаружения

Для обеспечения высокой эффективности обнаружения ESET LiveGuard Advanced использует четыре отдельных уровня обнаружения. На каждом уровне используются разные подходы и выносится отдельное решение относительно образца. Окончательная оценка основывается на совокупности информации об образце. Обзор процесса показан на схеме ниже.

layer_overview

Щелкните изображение для отображения полноразмерной картинки.

Уровень 1: расширенная распаковка и сканирование

При поступлении на начальный уровень ESET LiveGuard Advanced, так называемый уровень расширенной распаковки и сканирования, статические образцы сопоставляются с базой данных угроз ESET, которая содержит экспериментальные и еще не распространенные обнаружения, а также с обширным списком безопасных, потенциально нежелательных (PUA) и потенциально небезопасных (PUsA) элементов. Вредоносные программы часто пытаются помешать обнаружению, скрывая вредоносное ядро за рядом уровней упаковки, поэтому для надлежащего анализа необходимо эту маскировку удалить. Для этого ESET LiveGuard Advanced использует расширенную распаковку и сканирование с применением высокоспециализированных средств на основе упаковщиков, которые специалисты ESET обнаружили во вредоносном коде. Эти специализированные распаковщики удаляют защиту вредоносных программ, позволяя ESET LiveGuard Advanced еще раз сопоставить образцы с базой данных угроз. Уровень расширенной распаковки и сканирования классифицирует образец как вредоносный, безопасный, PUA илиPUsA. В связи с угрозами безопасности и требованиями к оборудованию, связанными с распаковщиками, а также с другими используемыми процедурами, необходима высокопроизводительная и безопасная среда. Эта уникальная среда обеспечивается надежной и отказоустойчивой облачной инфраструктурой ESET LiveGuard Advanced.

layer_1

Уровень 2: обнаружение с помощью расширенного машинного обучения

Каждый из элементов, отправленных на анализ в ESET LiveGuard Advanced, также подвергается статическому анализу. Для этого используется обнаружение с помощью расширенного машинного обучения, позволяющее определить базовые характеристики образца. Поскольку анализ сжатого или зашифрованного кода без дальнейшей обработки не имеет смысла, образец одновременно подвергается другому более динамическому анализу, при котором извлекаются инструкции и структура. На основе описания активных функций и поведения упакованных или замаскированных элементов можно выявить вредоносные характеристики даже не выполняя эти элементы. Затем извлеченная на предыдущих этапах информация обрабатывается рядом тщательно подобранных моделей классификации и алгоритмов глубокого обучения. Наконец, всю эту информацию обрабатывает нейросеть, которая возвращает один из четырех уровней вероятности — вредоносный, очень подозрительный, подозрительный и безопасный. Если этот или какой-либо другой уровень не используется, ESET LiveGuard Advanced отображает сообщение о том, что анализ не требуется. В связи со сложностью этих процедур и высокими требованиями к оборудованию необходима значительно более мощная инфраструктура, чем та, которая предоставляется конечной точкой пользователя. Для обработки сложных вычислений инженеры ESET создали эффективный и сложный набор систем — ESET LiveGuard Advanced.

layer_2

Уровень 3: модуль экспериментального обнаружения

Для дальнейшей проверки образца полученные ранее результаты необходимо дополнить более глубоким анализом, ориентированным на поведение. Чтобы получить такие сведения об угрозах, применяется еще один уровень ESET LiveGuard Advanced — модуль экспериментального обнаружения. Он помещает подозрительный элемент в набор точно настроенных систем, которые максимально точно воссоздают полноценные компьютеры с различными операционными системами — такая себе «песочница на стероидах». Эти тщательно контролируемые среды используются в качестве ячеек, напичканных огромным количеством алгоритмов обнаружения ESET и записывающих каждое действие. Чтобы обнаружить скрытое вредоносное поведение, модуль экспериментального обнаружения также генерирует большое количество дампов памяти. Впоследствии они сканируется и сопоставляются с базой данных угроз ESET, которая содержит неопубликованные и экспериментальные обнаружения, что обеспечивает очень точные результаты обнаружения и крайне низкое количество ложных срабатываний. Аналитические данные, собранные модулем экспериментального обнаружения, также включаются в комплексный список событий, обнаруженных песочницей, который затем используется для дальнейшего анализа на последнем уровне обнаружения ESET LiveGuard Advanced — углубленном анализе поведения.

layer_3

Уровень 4: углубленный анализ поведения

На последнем уровне ESET LiveGuard Advanced, известном как углубленный анализ поведения, все выходные данные песочницы, включая файлы, созданные и удаленные на жестком диске, записи, добавленные в системный реестр Windows и удаленные из него, все попытки внешних взаимодействий и запуска сценариев, подвергаются тщательному анализу поведения. На этом этапе ESET LiveGuard Advanced уделяет основное внимание вредоносным и подозрительным действиям, например попыткам подключения к веб-сайтам с плохой репутацией, использованию известных вредоносных объектов, а также использованию уникальных строк, создаваемых конкретными семействами вредоносных программ. Кроме того, углубленный анализ поведения разбивает выходные данные песочницы на логические блоки, которые затем сопоставляются с большой и регулярно обновляемой базой данных ранее проанализированных шаблонов и цепочек действий, по которым можно выявить даже самый малозаметный признак вредоносного поведения.

layer_4

Окончательный результат

ESET LiveGuard Advanced совмещает все доступные результаты уровней обнаружения и оценивает состояние образца. Результат сначала передается в пользовательский продукт ESET для обеспечения безопасности и в инфраструктуру компании, в которой работает пользователь.

Layer_verdict